インターフェイス VPC エンドポイントを作成およびストリーミングする - Amazon WorkSpaces
前提条件と制限WorkSpaces ストリーミングの VPC エンドポイントを設定する

インターフェイス VPC エンドポイントを作成およびストリーミングする

Virtual Private Cloud (VPC) は、Amazon Web Services クラウド内の論理的に隔離された領域にある仮想ネットワークです。Amazon Virtual Private Cloud を使用して AWS リソースをホストする場合には、自分の VPC と WorkSpaces の間でプライベート接続を確立できます。この接続を使用すると、WorkSpaces はパブリックインターネットを経由せずに VPC のリソースと通信できます。

インターフェイスエンドポイントは、AWS PrivateLink (プライベート IP アドレスを使用して指定した VPC 内にストリーミングトラフィックを維持できるテクノロジー) により動作します。この VPC を AWS Direct Connect または AWS Virtual Private Network トンネルで使用すると、ストリーミングトラフィックをネットワーク内に維持できます。

AWS アカウントのインターフェイス VPC エンドポイントを使用して、Amazon VPC と WorkSpaces 間のすべてのストリーミングトラフィックを AWS ネットワークに制限できます。エンドポイントを作成したら、それを使用するよう WorkSpaces ディレクトリを設定します。

前提条件と制限

WorkSpaces 用のインターフェイス VPC エンドポイントを設定する前に、以下の前提条件と制限に注意してください。

  • この機能は現在、IPv4 または IPv6 DNS レコードの IP タイプをサポートしています。デュアルスタック DNS レコードの IP タイプはサポートされていません。

  • ディレクトリと同じ AWS アカウントにある VPC エンドポイントのみ設定できます。共有 VPC のエンドポイントを含め、他の AWS アカウントにある VPC エンドポイントはサポートされていません。

  • この機能は現在、VPC エンドポイントのプライベート DNS 名のみサポートしています。VPC エンドポイントのプライベート DNS 名はパブリックに解決できません。

  • この機能は現在、WorkSpaces Personal でのみ使用できます。WorkSpaces Pools は、ストリーミング用の VPC エンドポイントをサポートしていません。

  • VPC エンドポイント機能は、Amazon DCV を使用する WorkSpaces に対してのみ使用できます。ディレクトリの VPC エンドポイントを設定すると、ユーザーはインターネット経由で Amazon DCV からストリーミングすることはできません。ただし、VPC エンドポイント設定中に、同じディレクトリにある PCoIP WorkSpaces のインターネットストリーミングを有効にできます。

  • VPC 内のストリーミングトラフィックを維持するには、ストリーミング VPC エンドポイントを使用します。WorkSpaces クライアントでは、ユーザー認証でインターネット接続が必要です。認証トラフィックのポート 443 (UDP と TCP の両方) でアウトバウンドアクセスを有効にします。さらに、選択した認証方法に基づき、必要なドメインと IP アドレスを許可リストに追加する必要があります。各カテゴリのドメインの完全なリストについては、「Domains and IP addresses to add to your allow list」を参照してください。

    • CAPTCHA

    • ディレクトリ設定

    • スマートカードを使用している場合、セッション前のスマートカード認証エンドポイント

    • ユーザーログインページ

    • WS ブローカー

    • SAML シングルサインオン (SSO) 用の Workspaces エンドポイント

  • ユーザーのデバイスが接続されているネットワークは、VPC エンドポイントにトラフィックをルーティングできる必要があります。

  • ec2:DescribeVpcEndpoints API アクションを実行するには、AWS アカウントの IAM ユーザーまたは IAM ロールの IAM アクセス許可ポリシーが必要です。

  • WorkSpaces ストリーミング VPC エンドポイントは FIPS 暗号化をサポートしていません。ディレクトリの FIPS 暗号化を既に有効にしている場合は、VPC エンドポイントの設定前に FIPS 暗号化を無効にする必要があります。

  • AWS Global Accelerator (AGA) 統合は、VPC エンドポイント経由でストリーミングする場合には使用できません。

  • VPC エンドポイントがディレクトリに設定されている場合、そのディレクトリに指定された IP アクセスコントロールグループは適用されなくなります。

WorkSpaces ストリーミングの VPC エンドポイントを設定する

WorkSpaces ストリーミング用の VPC エンドポイントを設定するには、次の手順を実行します。

ステップ 1: セキュリティグループを作成する

このステップでは、これから作成する VPC エンドポイントとの通信を WorkSpaces クライアントに許可するセキュリティグループを作成します。

  1. Amazon EC2 コンソールのナビゲーションペインで、[ネットワーク & セキュリティ] から [セキュリティグループ] に移動します。

  2. [Create a new security group] (新しいセキュリティグループを作成する) を選択します。

  3. [基本的な詳細] で、次の操作を行います。

    • [セキュリティグループ名] – セキュリティグループの一意の名前を入力します。

    • [説明] – セキュリティグループの目的を説明するテキストを入力します。

    • [VPC] – VPC エンドポイントがある VPC を選択します。

  4. [インバウンドルール] に移動し、[ルールを追加] を選択して TCP トラフィックのインバウンドルールを作成します。

  5. 次のように入力します。

    • [タイプ] – [カスタム TCP] を選択します。

    • [ポート範囲] – ポート番号 4434195 を入力します。

    • [ソースタイプ] – [カスタム] を選択します。

    • [ソース] – ユーザーが VPC エンドポイントに接続するプライベート IP CIDR 範囲、またはその他のセキュリティグループ ID を入力します。IPv4 または IPv6 アドレスソースからのインバウンドトラフィックを許可してください。

  6. CIDR 範囲またはセキュリティグループごとに、ステップ 4 と 5 を繰り返します。

  7. [インバウンドルール] に移動し、[ルールを追加] を選択して UDP トラフィックのインバウンドルールを作成します。

  8. 次のように入力します。

    • [タイプ][カスタム UDP] を選択します。

    • [ポート範囲] – ポート番号 443、4195 を入力します。

    • [ソースタイプ][カスタム] を選択します。

    • ソース – ステップ 5 で入力したのと同じプライベート IP CIDR 範囲またはセキュリティグループ ID を入力します。IPv4 または IPv6 アドレスソースからのインバウンドトラフィックを許可してください。

  9. CIDR 範囲またはセキュリティグループごとに、ステップ 7 と 8 を繰り返します。

  10. [Create a new security group] (新しいセキュリティグループを作成する) を選択します。

ステップ 2: VPC エンドポイントを作成する

Amazon VPC では、VPC エンドポイント を使用して、サポートされている AWS サービスに VPC を接続できます。この例では、WorkSpaces のユーザーが WorkSpaces からストリーミングできるように Amazon VPC を設定します。

  1. Amazon VPC コンソールを開きます。

  2. ナビゲーションペインで、[エンドポイント][エンドポイントの作成] の順に選択します。

  3. [エンドポイントの作成] を選択します。

  4. 以下のことを確認してください。

    • [サービスカテゴリ][AWS サービス]が選択されているようにしてください。

    • [サービス名][com.amazonaws.Region.highlander] を選択します。

    • [VPC] で、インターフェイスエンドポイントを作成する VPC を選択します。ネットワークが VPC エンドポイントにトラフィックをルーティングする限り、WorkSpaces リソースを持つ VPC とは異なる VPC を選択できます。

    • [プライベート DNS 名を有効にする] – チェックボックスがオンになっていることを確認します。ユーザーがネットワークプロキシを使用してストリーミングインスタンスにアクセスする場合は、プライベートエンドポイントに関連付けられているドメインと DNS 名のプロキシキャッシュを無効にします。VPC エンドポイントの DNS 名は、プロキシを介して許可する必要があります。DNS 名前解決を成功させるには、VPC 内のプライベート DNS サーバーを使用することが重要です。これは、パブリック DNS サーバーでは VPC エンドポイント DNS 名を解決しないためです。

    • [DNS レコードの IP タイプ] – IPv4 または IPv6 を選択します。デュアルスタック DNS レコード IP タイプは現在サポートされていません。デュアルスタックを選択した場合、VPC エンドポイントを使用して WorkSpaces からストリーミングすることはできません。

    • [サブネット] – VPC エンドポイントを作成するサブネット (アベイラビリティーゾーン) を選択します。少なくとも 2 つのサブネットを選択することをお勧めします。

    • [IP アドレスタイプ] – 選択したサブネットのサポート対象に応じて、IPv4、IPv6、またはデュアルスタックを選択します。

    • [セキュリティグループパネル] – 先ほど作成したセキュリティグループを選択します。

  5. (オプション) [タグ] パネルで、1 つ以上のタグを作成できます。

  6. [エンドポイントを作成] を選択します。

エンドポイントの準備ができると、[ステータス] 列の値が [Available] (利用可能) に変わります。

ステップ 3: VPC エンドポイントを使用するよう WorkSpaces ディレクトリを設定する

ストリーミング用に作成した VPC エンドポイントを使用するよう WorkSpaces ディレクトリを設定する必要があります。

  1. VPC エンドポイントと同じ AWS リージョンで WorkSpaces コンソールを開きます。

  2. ナビゲーションペインで、[ディレクトリ] をクリックします。

  3. 使用するディレクトリを選択します。

  4. [VPC エンドポイント] セクション、[編集] の順に移動します。

  5. [VPC エンドポイントの編集] ダイアログボックスの [ストリーミングエンドポイント] で、作成した VPC エンドポイントを選択します。

  6. 必要に応じて、[PCoIP WorkSpaces を使用するユーザーにインターネットからのストリーミングを許可する] を有効にします。

    注記

    有効にすると、ユーザーはパブリックインターネット経由で PCoIP WorkSpaces からストリーミングすることができます。有効にしない場合、PCoIP WorkSpaces はストリーミング用の VPC エンドポイントをサポートしていないため、ディレクトリの PCoIP WorkSpaces にアクセスできなくなります。

  7. [保存] を選択します。

新しいストリーミングセッションのトラフィックは、この VPC エンドポイントを介してルーティングされます。ただし、現在のストリーミングセッションのトラフィックは、引き続き以前に指定したエンドポイントを介してルーティングされます。

注記

VPC エンドポイントが指定されている場合、DCV WorkSpaces を使用するユーザーはパブリックインターネットを使用してのストリーミングはできません。